تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا وثيقة كيف أن يشكل الطبقة 3 Cisco TrustSec (CTS) مع مدخل عاكس.
cisco يوصي أن يتلقى أنت معرفة الأساسية ال CTS حل.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
CTS هو حل متطور للتحكم في الوصول إلى الشبكة والتحكم في الهوية لتوفير إمكانية اتصال آمنة شاملة عبر الشبكات الأساسية لمزودي الخدمة وشبكات مركز البيانات.
توفر محولات Catalyst 6500 ببطاقات الخط ذات Supervisor Engine 2T و 6900 Series دعم الأجهزة والبرامج الكامل من أجل تنفيذ CTS. عندما مادة حفازة 6500 يكون شكلت مع المشرف محرك 2T و 6900 sery خط بطاقة، النظام قادر تماما أن يزود CTS سمة.
بما أن العملاء يرغبون في الاستمرار في إستخدام محولات Catalyst 6500 وبطاقات الخطوط الموجودة بالفعل أثناء ترحيلهم إلى شبكة CTS، ولهذا السبب، يجب أن يكون Supervisor Engine 2T متوافقا مع بطاقات خطوط معينة موجودة بالفعل عند نشرها في شبكة CTS.
من أجل دعم وظائف CTS الجديدة مثل علامة مجموعة الأمان (SGT) وتشفير إرتباط IEEE 802.1AE MacSec، هناك دوائر مدمجة خاصة بالتطبيق (ASICs) تستخدم على Supervisor Engine 2T وبطاقات خطوط جديدة من السلسلة 6900. مدخل عاكس يزود أسلوب توافق بين القديم خط بطاقة أن لا يستعمل CTS. مدخل عاكس يساند أسلوب فقط مركزي forwarding، ربط forwarding يقع على ال PFC من مشرف محرك 2T. يتم دعم بطاقات الخط 6148 Series أو Fabric-enabled Central Forwarding Card (CFC) فقط، مثل بطاقات الخط 6748-GE-TX. لا يتم دعم بطاقات الخط Distributed Forwarding Card (DFC) وبطاقات الخط 10 Gigabit Ethernet Line Cards عند تمكين وضع العاكس للمدخل. مع تكوين وضع عاكس المدخل، لا يتم تشغيل بطاقات الخط غير المدعومة. مكنت مدخل عاكس أسلوب مع الإستعمالمن تشكيل أمر عام ويتطلب نظام reload.
SW1(config)#int t1/4/2 SW1(config-if)#ip address 172.16.0.1 255.255.255.0 SW1(config-if)# cts layer3 ipv4 trustsec forwarding SW1(config-if)# cts layer3 ipv4 policy SW1(config-if)#no shutdown SW1(config-if)#exit SW2(config)#int t1/2 SW2(config-if)#ip address 172.16.0.2 255.255.255.0 SW2(config-if)# cts layer3 ipv4 trustsec forwarding SW2(config-if)# cts layer3 ipv4 policy SW2(config-if)#no shutdown SW2(config-if)#exit
SW1(config)#platform cts ingress SW1#sh platform cts CTS Ingress mode enabled
توصيل واجهة من بطاقة خط غير مدعومة ب CTS إلى IXIA.
SW1#sh run int gi2/4/1 Building configuration... Current configuration : 90 bytes ! interface GigabitEthernet2/4/1 no switchport ip address 10.10.10.1 255.255.255.0 end
قم بتعيين رقيب ساكن إستاتيكي في محول SW1 للحزم المستلمة من IXIA 1 المتصلة ب SW1. يسمح الإعداد بنهج تنفيذ CTS L3 فقط للحزم في الشبكة الفرعية المطلوبة على المصدق.
SW1(config)#cts role-based sgt-map 10.10.10.10 sgt 15 SW1(config)#ip access-list extended traffic_list SW1(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 any SW1(config)#cts policy layer3 ipv4 traffic traffic_list
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
دققت أن ال IFC-state مفتوح على كلا مفتاح. يجب أن تبدو المخرجات كما يلي:
SW1#sh cts int summary Global Dot1x feature is Enabled CTS Layer2 Interfaces --------------------- Interface Mode IFC-state dot1x-role peer-id IFC-cache Critical Authentication ----------------------------------------------------------------------------- Te1/4/1 DOT1X OPEN Supplic SW2 invalid Invalid Te1/4/4 MANUAL OPEN unknown unknown invalid Invalid Te1/4/5 DOT1X OPEN Authent SW2 invalid Invalid Te1/4/6 DOT1X OPEN Supplic SW2 invalid Invalid Te2/3/9 DOT1X OPEN Supplic SW2 invalid Invalid CTS Layer3 Interfaces --------------------- Interface IPv4 encap IPv6 encap IPv4 policy IPv6 policy Te1/4/2 OPEN ---------- OPEN ----------- SW2#sh cts int summary Global Dot1x feature is Enabled CTS Layer2 Interfaces --------------------- Interface Mode IFC-state dot1x-role peer-id IFC-cache Critical-Authentication ----------------------------------------------------------------------------- Te1/1 DOT1X OPEN Authent SW1 invalid Invalid Te1/4 MANUAL OPEN unknown unknown invalid Invalid Te1/5 DOT1X OPEN Supplic SW1 invalid Invalid Te1/6 DOT1X OPEN Authent SW1 invalid Invalid Te4/5 DOT1X OPEN Authent SW1 invalid Invalid CTS Layer3 Interfaces --------------------- Interface IPv4 encap IPv6 encap IPv4 policy IPv6 policy -------------------------------------------------------------------------- Te1/2 OPEN ---------- OPEN -----------
التحقق من خلال إخراج NetFlow
يمكن تكوين NetFlow باستخدام الأوامر التالية:
SW2(config)#flow record rec2 SW2(config-flow-record)#match ipv4 protocol SW2(config-flow-record)#match ipv4 source address SW2(config-flow-record)#match ipv4 destination address SW2(config-flow-record)#match transport source-port SW2(config-flow-record)#match transport destination-port SW2(config-flow-record)#match flow direction SW2(config-flow-record)#match flow cts source group-tag SW2(config-flow-record)#match flow cts destination group-tag SW2(config-flow-record)#collect routing forwarding-status SW2(config-flow-record)#collect counter bytes SW2(config-flow-record)#collect counter packets SW2(config-flow-record)#exit SW2(config)#flow monitor mon2 SW2(config-flow-monitor)#record rec2 SW2(config-flow-monitor)#exit
تطبيق NetFlow على منفذ الدخول لواجهة محول SW2 كما هو موضح:
SW2# sh run int t1/2 Building configuration... Current configuration : 166 bytes ! interface TenGigabitEthernet1/2 ip address 172.16.0.2 255.255.255.0 ip flow monitor mon2 input cts layer3 ipv4 trustsec forwarding cts layer3 ipv4 policy end
إرسال حزم من IXIA 1 إلى IXIA 2. يجب إستلامه بشكل صحيح على IXIA 2 المتصل بمحول SW2 وفقا لسياسة حركة المرور. تأكد من وضع علامات على الحزم.
SW2#sh flow monitor mon2 cache format table Cache type: Normal Cache size: 4096 Current entries: 0 High Watermark: 0 Flows added: 0 Flows aged: 0 - Active timeout ( 1800 secs) 0 - Inactive timeout ( 15 secs) 0 - Event aged 0 - Watermark aged 0 - Emergency aged 0 There are no cache entries to display. Cache type: Normal (Platform cache) Cache size: Unknown Current entries: 0 There are no cache entries to display. Module 4: Cache type: Normal (Platform cache) Cache size: Unknown Current entries: 0 There are no cache entries to display. Module 2: Cache type: Normal (Platform cache) Cache size: Unknown Current entries: 0 There are no cache entries to display. Module 1: Cache type: Normal (Platform cache) Cache size: Unknown Current entries: 4 IPV4 SRC ADDR IPV4 DST ADDR TRNS SRC PORT TRNS DST PORT FLOW DIRN FLOW CTS SRC GROUP TAG FLOW CTS DST GROUP TAG IPPROT ip fwd status bytes pkts =============== =============== ============= ============= ========= ====================== ====================== ======= ======================================== ========== 1.1.1.10 2.2.2.10 0 0 Input 10 0 255 Unknown 148121702 3220037 10.10.10.10 10.10.20.10 0 0 Input 15 0 255 Unknown 23726754 515799 10.10.10.1 224.0.0.5 0 0 Input 2 0 89 Unknown 9536 119 172.16.0.1 224.0.0.5 0 0 Input 0 0 89 Unknown 400 5
الآن، قم بإعداد سياسة الاستثناء لتخطي CTS L3 للحزم إلى عنوان IP محدد في محول المصدق.
SW1(config)#ip access-list extended exception_list SW1(config-ext-nacl)#permit ip 10.10.10.0 0.0.0.255 any SW1(config)#cts policy layer3 ipv4 exception exception_list
SW2#sh flow monitor mon2 cache format table Cache type: Normal Cache size: 4096 Current entries: 0 High Watermark: 0 Flows added: 0 Flows aged: 0 - Active timeout ( 1800 secs) 0 - Inactive timeout ( 15 secs) 0 - Event aged 0 - Watermark aged 0 - Emergency aged 0 There are no cache entries to display. Cache type: Normal (Platform cache) Cache size: Unknown Current entries: 0 There are no cache entries to display. Module 4: Cache type: Normal (Platform cache) Cache size: Unknown Current entries: 0 There are no cache entries to display. Module 2: Cache type: Normal (Platform cache) Cache size: Unknown Current entries: 0 There are no cache entries to display. Module 1: Cache type: Normal (Platform cache) Cache size: Unknown Current entries: 3 IPV4 SRC ADDR IPV4 DST ADDR TRNS SRC PORT TRNS DST PORT FLOW DIRN FLOW CTS SRC GROUP TAG FLOW CTS DST GROUP TAG IP PROT ip fwd status bytes pkts =============== =============== ============= ============= ========= ====================== ====================== ======= ======================================== ========= 1.1.1.10 2.2.2.10 0 0 Input 10 0 255 Unknown 1807478 39293 10.10.10.10 10.10.20.10 0 0 Input 0 0 255 Unknown 1807478 39293 10.10.10.1 224.0.0.5 0 0 Input 2 0 89 Unknown 164 2
إرسال حزم من IXIA 1 إلى IXIA 2. يجب استقبالها بشكل صحيح على IXIA 2 المتصلة بمحول SW2 وفقا لنهج الاستثناء.
ملاحظة: الحزم ليست رقيبة مميزة لأن نهج الاستثناء يأخذ علامة مجموعة SRC لتدفق CTS=0.
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.